« De la loi du 6 janvier 1978 à la Délibération CNIL du 4 juillet 2019« 

La publicité digitale est une source de revenus pour un très grand nombre de sites web, dont la gratuité d’accès est ainsi assurée, mais ne va pas sans poser de nombreuses questions, certaines très complexes, quant à sa conformité aux réglementations applicables, au premier rang desquelles le RGPD et l’eprivacy. Suite et fin de notre chronique.

  • Les nouvelles lignes directrices de la CNIL (juillet 2019)

Ainsi, la CNIL a constaté qu’avec la multiplication des intermédiaires (SSP, DSP, etc.) et l’essor du programmatique, le nombre de traitements et le nombre de destinataires des données personnelles augmentent. En conséquence, tout responsable du traitement « doit être en mesure de démontrer, pour la totalité des données [qu’il] traite aujourd’hui, la validité du consentement exprimé ».

La multiplication des intermédiaires entraîne inéluctablement « un risque croissant de perte de valeur et de transparence au fil de la chaîne » (Solutions numériques, 8 novembre 2018) voire, plus concrètement encore, de fuites de données, détournées des usages autorisés, et utilisées à des fins distinctes, par des tiers inconnus, à l’insu des personnes physiques concernées. En effet, chaque nouvel intermédiaire suppose que celui-ci soit identifié et, surtout, que la personne concernée ait consenti à ce que ses données lui soient communiquées pour des finalités déterminées. Aussi, plus le nombre d’intermédiaires augmente, plus le risque est élevé que les données personnelles soient traitées sans base juridique, sans consentement valablement recueilli.

Il est indispensable de parvenir à mieux qualifier les différents métiers qui interviennent au sein de l’écosystème de la publicité digitale, en tentant de définir, au-delà des technologies et des offres de ces professionnels, une répartition générique des responsabilités en fonction des métiers exercés et des traitements déterminés par chacun.

Cela implique de qualifier les protagonistes en cernant mieux le rôle de chaque intervenant de la chaine de collecte et de traitement des données personnelles. L’écosystème de la publicité digitale présente la double particularité suivante : (i) les éditeurs constituent la « porte d’entrée » unique et incontournable permettant la collecte des données et la diffusion de l’information, et (ii) les intermédiaires en publicité qui sont susceptibles d’obtenir ensuite ces données sont extrêmement nombreux, pour des métiers variés (SSP, DSP, adtech, adexchange, trading desks, régies, annonceurs…), et échappent généralement au contrôle des éditeurs, qui n’ont de contrat direct qu’avec leurs propres prestataires.

Il serait parfaitement illusoire, et erroné, de généraliser une approche selon laquelle les éditeurs de site web et d’applications mobiles seraient les sous-traitants de l’ensemble des autres acteurs, en ce qu’ils assurent la collecte initiale des données : ces éditeurs sont le plus souvent propriétaires des bases de données ainsi constituées, puisqu’ils ont exposé les coûts nécessaires à cette constitution et ont pris l’initiative afférente. De plus, les éditeurs engagent leur image de marque auprès des internautes et mobinautes, doivent être très attentifs à la préservation d’une « expérience utilisateurs » optimale sur leurs sites et applications, et sont perçus par les utilisateurs comme responsables des traitements ultérieurs de leurs données, quand bien même les éditeurs n’ont en réalité aucun contrôle et aucune responsabilité d’ordre contractuel sur les acteurs ultérieurs de l’écosystème.

Pour autant, les éditeurs exercent nécessairement une certaine influence sur les traitements subséquents, puisqu’ils définissent les modalités d’interrogation de leurs visiteurs, choisissent les partenaires avec lesquels ils travaillent et qui pourront obtenir les données collectées via les sites et application. Le marché de la publicité digitale présente indéniablement des difficultés et originalités qui convoquent toutes les notions du RGPD, en particulier celles de sous-traitants, de responsables de traitement et de responsables conjoints de traitement.

Dans sa recherche d’un équilibre transitoire, la CNIL semble cependant temporiser l’application d’une notion rigoureuse du consentement, telle qu’elle se dégageait de ses décisions précédentes.

En effet, en juin 2019, la CNIL a indiqué qu’elle entendait mettre un terme au « soft optin » et donc au consentement par poursuite de navigation. La CNIL indiquait par là qu’elle souhaitait que les acteurs de l’écosystème se conforment à la version du consentement tel qu’il ressort du RGPD et des interprétations du CEPD. La « poursuite de navigation » devenait, dans cette optique, trop évasive, trop peu active, et absolument pas « spécifique » à telle ou telle finalité, ni telle ou telle catégorie de destinataires. Cette position a suscité les craintes relatives au « cookie wall » : un barrage à l’entrée des sites web ou applications, décourageant leur consultation en raison d’une trop grande complexité des choix proposés et des actions à prendre.

La CNIL a ainsi explicité le fait qu’elle désavouait sa délibération de 2013, et même les termes de l’article 32 de la loi Informatique & Libertés dans son ancienne rédaction, qui était déjà implicitement battu en brèche dans la décision Google.

En conséquence, la CNIL a édité un « plan d’actions pour l’année 2019-2020 » à destination des professionnels du ciblage publicitaire, afin d’accompagner ceux-ci dans l’acquisition de pratiques conformes à la nouvelle réglementation. Ce plan d’actions se découpe comme suit :

  • Emission de nouvelles lignes directrices pour la publicité « digitale », abrogeant officiellement la délibération de 2013, ouvertes à la consultation pendant un semestre dès juillet 2019 ;

  • Animation d’un groupe de travail avec les acteurs de l’écosystème, des représentants des consommateurs et des associations de protection des libertés publiques et des données personnelles, afin de concilier leurs impératifs et préoccupations, jusqu’en octobre 2019 ;

  • Bilan des travaux puis publications de lignes directrices actualisées d’ici la fin de l’année 2019 ;

  • Période de tolérance de la CNIL envers les pratiques des acteurs de l’écosystème entre juillet 2019 et juillet 2020. Au-delà, les règles clarifiées seront appliquées et contrôlées avec rigueur par la CNIL, et malheur aux acteurs qui ne se seront pas mis en conformité.

Certains acteurs se sont insurgés contre le fait que ce plan d’actions aménage finalement une nouvelle période de transition, et de tolérance envers les professionnels, alors précisément que la période de deux ans de mise en conformité aménagée pour le RGPD est déjà parvenue à son terme le 25 mai 2018. On peut en effet s’étonner qu’une certaine catégorie d’entreprises se voit reconnaître un délai complémentaire, alors que d’autres sont sanctionnées de plus en plus sévèrement à mesure que le temps passe, en cas de non-respect des exigences du RGPD.

Les nouvelles lignes directrices publiées par la CNIL, via sa délibération n° 2019-093 du 4 juillet 2019, abrogent donc sa délibération de 2013, et définissent les nouvelles règles applicables, pour la période transitoire qui s’ouvre et ensuite. Il est à noter que ces lignes directrices sont soumises à commentaires pendant le semestre qui suit leur publication, et à une période de douze mois pour permettre aux entreprises de se mettre en conformité avec ces nouvelles règles. Ce délai de 12 mois n’a d’ailleurs pas manqué d’émouvoir certaines associations de protection des consommateurs et des libertés numériques, qui ont objecté qu’au sens du RGPD, l’ensemble des entreprises qui collecte des données personnelles disposait déjà d’un délai de deux ans pour se conformer au RGPD entre avril 2016 et mai 2018…

Ces lignes directrices se veulent une position de compromis entre les caractéristiques du consentement au sein du RGPD, les exigences du secteur professionnel, et l’anticipation du futur règlement eprivacy.

Il est clairement question, dès les visas de cette délibération, de concilier à la fois les dispositions de la directive 2002/58/CE eprivacy, l’article 82 de la loi Informatique & Libertés, l’article 4 du RGPD et les lignes directrices du CEPD. Ces lignes directrices visent donc expressément à contextualiser l’application de l’article 82 de la loi.

Et la clarification est bien évidemment nécessaire, car cet article 82 parle successivement du droit pour la personne « de s’opposer à l’accès aux informations stockées dans son terminal »… puis de son « consentement » ! Au regard du RGPD, on constate que deux notions potentiellement contradictoires sont ici invoquées : l’opposition (qui évoque le « droit d’opposition », qui peut intervenir n’importe quand, et dont le rappel doit accompagner ce qui n’est qu’une simple information préalable lors de la collecte initiale), et le consentement (qui quant à lui doit être préalable au traitement, et révocable).

La CNIL règle la question de manière claire puisqu’elle écrit aussitôt que « Le consentement prévu par ces dispositions doit être conforme à la définition et aux conditions prévues aux articles 4 (11) et 7 du RGPD. ». Il s’agit donc bien d’une collecte et de traitement qui doivent s’appuyer sur le consentement préalable en tant que base légale. Il n’est donc plus question de pouvoir justifier des traitements de publicité ciblée par l’intérêt légitime de tel ou tel responsable de traitement.

La CNIL détaille ensuite les caractéristiques du consentement de l’utilisateur, qui doit avoir « préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair » :

  • Libre, c’est-à-dire si la personne concernée « est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement» : le cookie wall est donc interdit, et l’expérience utilisateur ne doit pas être amoindrie s’il refuse l’implantation d’un traceur. En clair, l’implantation du traceur ne doit pas conditionner l’utilisation normale que l’utilisateur souhaite faire du site ou de l’application ;

  • Spécifique, c’est-à-dire « de façon indépendante et spécifique pour chaque finalité distincte». Si la CNIL reconnait la possibilité d’un dispositif de validation globale à toutes les finalités poursuivies, une telle faculté d’acceptation globale ne peut pas se substituer à la nécessaire faculté de consentement finalité par finalité. La CNIL rappelle donc qu’il n’est pas possible de confondre le consentement général aux CGU d’un site ou d’une application, avec le nécessaire consentement spécifique à chaque finalité poursuivie dans la collecte des données de l’utilisateur ;

  • Eclairé, c’est-à-dire que l’utilisateur doit être parfaitement informé des finalités des traceurs utilisés, en des termes « simples et compréhensibles pour tous », et donc en bannissant des présentations trop juridiques ou trop techniques des utilisations qui seront faites des données… ou des entités qui en seront rendues destinataires ;

La CNIL souligne que le recueil des données via un traceur ne doit pas pouvoir être effectué tant qu’un tel consentement n’est pas dûment enregistré, et qu’elle sanctionnera tout responsable d’un dispositif qui ne respecterait pas cette règle élémentaire.

Mais cela signifie-t-il que la poursuite de navigation, qui entraîne un consentement global à toutes les finalités poursuivies et ne permet pas de discriminer entre elles, est désormais bannie ? La réponse n’est pas évidente, car il est toujours possible de défendre la poursuite de navigation comme la manifestation, par un « acte clair et positif », d’un consentement global aux finalités qui doivent être exposées à la connexion sur le site ou l’application. Dès lors que les lignes directrices reconnaissent qu’un tel consentement global demeure possible, dès lors qu’il ne remplace ni n’exclut un consentement finalité par finalité, pourquoi ce mode de consentement global serait définitivement exclu ?

Certes, la CNIL écrit sur son site internet que « le comité européen de la protection des données, dans ses lignes directrices sur le consentement, est venu explicitement exclure la poursuite de la navigation sur un site ou une application mobile comme expression valable du consentement. ». Voilà une indication forte, qu’il serait aventureux de vouloir ignorer.

On peut alors regretter que le texte des lignes directrices de juillet 2019 ne soient pas lui-même aussi explicite, et ne bannisse pas expressément le consentement par poursuite de la navigation. Au contraire, un moratoire est proposé – au grand soulagement de nombreux acteurs de l’écosystème.

Ces lignes directrices font bien entendu un sort à la technique qui consistait à renvoyer l’internaute aux paramétrages de son navigateur pour gérer les cookies et refuser leur implantation, ce qui est une évidence constatée de longue date (« ces paramétrages du navigateur ne peuvent, en l’état de la technique, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide. Tout d’abord, si les navigateurs web proposent de nombreux réglages permettant aux utilisateurs d’exprimer des choix en matière de cookies, force est de constater que ceux-ci sont exprimés dans des conditions ne permettant pas d’assurer un niveau suffisant d’information préalable des personnes. Ensuite, quels que soient les mécanismes existants, les navigateurs ne permettent pas de distinguer les cookies en fonction de leurs finalités, ce qui signifie que l’utilisateur n’est pas non plus en mesure de consentir de manière spécifique pour chaque finalité. Enfin, les paramétrages du navigateur ne permettent pas aujourd’hui d’exprimer un choix sur d’autres technologies que les cookies (telle que le fingerprinting par exemple) à des fins de suivi de la navigation. »).

Précisons que cette méthode de gestion du consentement était déjà largement obérée suite à la décision du Conseil d’Etat du 6 juin 2018 dans l’affaire dite « Croque Futur », qui avait posé qu’en l’absence d’une information conforme des personnes, le paramétrage du navigateur ne constitue pas un mode valable d’opposition, dans la mesure où factuellement, il n’était pas possible de paramétrer son navigateur à défaut d’informations claires et préalablement à l’implantation des cookies.

Pour autant, compte tenu des nouvelles lignes directrices de la CNIL, qu’en est-il du sens à donner à la poursuite de la navigation ?

La CNIL écrit sur son site qu’elle « laissera aux acteurs une période transitoire de 12 mois, afin qu’ils aient le temps de se conformer aux principes qui divergent de la précédente recommandation. Durant cette période de transition, la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable »…

Ce qui signifie expressément qu’une technique de recueil du consentement, expressément condamnée par le CEPD, sera néanmoins considérée comme valable pendant encore 12 mois. Cette tolérance a été favorablement perçue par les acteurs de l’écosystème, qui travaillent à l’implémentation de formats et procédures permettant de gérer le consentement conformément aux exigences du RGPD, mais qui ne sont pas encore prêts, ni sur le plan technique ni sur le plan juridique, à déployer de tels dispositifs – outre le manque à gagner que certains redoutent si leurs revenus publicitaires fondent en conséquence de la suppression du consentement par poursuite de la navigation.

Mais c’est précisément cette tolérance que certaines associations telles que la Quadrature du Net ont décidé d’attaquer, au motif qu’elle est expressément contraire aux lignes directrices du CEPD d’avril 2018 qui indiquent que « faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair. La raison en est que la notification indiquant qu’en continuant à faire défiler la page, l’utilisateur donne son consentement peut être difficile à distinguer et/ou peut être manquée lorsqu’une personne concernée fait rapidement défiler de longs textes, et qu’une telle action n’est pas suffisamment univoque. »

Le référé-suspension introduit par ces associations contre la délibération de la CNIL n’a pas abouti, mais le Conseil d’Etat a renvoyé à une audience au fond le 30 septembre 2019, lors de laquelle il a rejeté le recours au motif que la CNIL est libre de déterminer ses directives et préconisations de mise en conformité avec le RGPD, et par conséquent que le délai de grâce complémentaire accordé par la CNIL aux acteurs de la publicité ciblée n’était pas illégal.

La CNIL indique par ailleurs les bonnes pratiques, en écrivant dans la foulée sur son site qu’elle « a choisi de supprimer son bandeau cookie et de ne déposer aucun traceur tant que l’utilisateur n’a pas donné son consentement en se rendant activement dans le module de gestion des cookies ou directement via les pages de contenu », mais souligne à nouveau que « ce choix de ne pas recourir à un bandeau ne constitue ni une obligation ni une recommandation pour les autres sites web qui sont libres d’adopter des solutions adaptées à leur situation, dans le respect de la réglementation. », qu’elle a pourtant relativisé en aménageant une nouvelle période transitoire de 12 mois.

Pour récapituler :

  • L’intérêt légitime, qui permet une information préalable doublée d’un rappel du droit d’opposition, est définitivement exclu s’agissant des traitements de publicité ciblée, seul le consentement préalable constituant une base légale acceptable ;

  • Ce consentement préalable doit répondre en tous points aux critères défini dans le RGPD tels que précisés et interprétés par le CEPD dans ses lignes directrices sur le consentement d’avril 2018 ;

  • La délibération de la CNIL de 2013 relative aux cookies est donc abrogée et ses règles sont battues en brèche ;

  • Il n’est donc plus possible de renvoyer l’internaute aux paramétrages de son navigateur pour gérer les cookies ;

  • Cependant, la CNIL admet que pendant une période complémentaire de 12 mois, le consentement par poursuite de la navigation soit encore considéré comme une technique valable de consentement global aux traitements annoncés à la personne qui visite un site web ou une application.

On doit noter par ailleurs que les lignes directrices de la CNIL de juillet 2019 traitent également des traceurs dont la finalité est la mesure d’audience, et reprend le concept d’intrusivité qui avait précisé à sa délibération de 2013 : « Un éditeur peut avoir besoin de mesurer l’audience de son site web ou de son application, ou bien de tester des versions différentes afin d’optimiser ses choix éditoriaux en fonction de leurs performances respectives. Des traceurs sont fréquemment utilisés pour cette finalité et ces dispositifs peuvent, dans certains cas, être regardés comme nécessaires à la fourniture du service explicitement demandé par l’utilisateur, sans présenter de caractère particulièrement intrusif pour ceux-ci, et ainsi être exemptés du recueil du consentement ».

La CNIL précise donc que peuvent être exemptés du consentement préalable les traceurs qui :

  • Sont émis par l’éditeur lui-même ou un prestataire sous-traitant pour son compte (ce qui exclut les cookies tiers),

  • Font l’objet d’une simple information préalable circonstanciée et d’une faculté d’opposition,

  • N’ont pour finalité que l’évaluation des contenus publiés et l’ergonomie du site ou de l’application, la segmentation de l’audience du site web en cohortes afin d’évaluer l’efficacité des choix éditoriaux sans ciblage individuel, ou encore la modification dynamique d’un site de façon globale,

  • Ne conduisent à aucun croisement des données collectées avec d’autres données (telles qu’un fichier client ou des statistiques d’autres sites web),

  • Ne sont transmises à aucun tiers,

  • Ne donnent lieu qu’à des statistiques anonymes, à l’exclusion formelle de toute identification ou suivi de la navigation d’une personne au travers de plusieurs terminaux ou sur plusieurs sites web.

Pour compléter, si le traceur relève l’adresse IP, celle-ci ne doit pas permettre une géolocalisation plus fine que la ville de la personne concernée, et l’adresse IP doit être détruite ou anonymisée dès la géolocalisation effectuée.

Enfin, les traceurs ne doivent pas avoir une durée de vie supérieure à 13 mois, et les informations précédemment collectées via ces traceurs ne peuvent être conservées que 25 mois au maximum.

Dans tous les autres cas (par exemple : suivi d’une personne sur plusieurs sites web, croisement des données avec d’autres données ou statistiques, conservation des données au-delà de 25 mois, durée de vie d’un cookie supérieure à 13 mois, suivi personnalisé d’un individu sur ses terminaux ou sur plusieurs autres sites web, etc.), le consentement préalable est strictement nécessaire.

Précisons que ces règles s’appliquent (i) quel que soit le type de terminal (smartphone, tablette, ordinateur fixe ou portable, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal… et finalement tout objet connecté (IoT), ainsi que tout navigateur confondu, (ii) pour tout type de dispositif permettant de collecter des données (cookies, tags, SDK, fingerprinting, wifi…) réunis sous le terme de « traceurs », et quelles que soient les informations collectées (identifiants uniques IDFA, IDFV, Androïd ID, adresses MAC, adresse IP, numéro de série, y compris s’il ne s’agit pas de données à caractère personnel. Les lignes directrices s’inspirent ici du caractère agnostique des règlementations telles que le RGPD ou le futur règlement eprivacy, qui s’appliquent quels que soient les systèmes de collecte et les identifiants collectés.

En pratique, qu’est-ce qui change ou est définitivement clarifié ?

  • La forme des CMP va évoluer, pour bannir définitivement, et sans délai cette fois, tout bouton « tout accepter» qui ne serait pas assorti d’une information très précise sur les finalités et destinataires des données, d’une part, et d’une alternative permettant de refuser ou valider ces finalités et destinataires individuellement. Un bouton « je refuse », tout aussi global, devrait être ajouté ;

  • Les bandeaux ne pourront bien évidemment plus renvoyer aux paramétrages des navigateurs des internautes, ni comporter une information laconique sur les finalités assortie d’un simple bouton « ok» ;

  • Un acte positif est exigé, en toute hypothèse, pour valider l’implantation des cookies dont la personne aura pu comprendre les finalités, mais pendant encore 12 mois, cet acte positif pourra conserver le caractère implicite d’une poursuite de la navigation ;

  • La CNIL publiera les règles finales, après consultation publique, au plus tard début 2020, et procèdera à des vérifications du respect de la recommandation finale 6 mois après son adoption définitive.

Toutefois, rappelons ce qui était déjà établi et ne change pas :

  • Un silence ne vaut pas consentement. Seul un acte positif peut valoir consentement, s’il est réalisé dans un contexte parfaitement informé ;

  • L’opt-out (case pré-cochées à décocher) est formellement interdit – interdiction en dépit de laquelle on voit encore beaucoup trop souvent des gestionnaires de tags qui ont validé par défaut l’implantation des cookies destinés à la publicité ciblée ou à la personnalisation des contenus du site web !;

  • Les traitements effectués sur les données et les finalités poursuivies doivent être expliqués « en des termes simples et compréhensibles pour tous» via des « des solutions conviviales et ergonomiques » ;

  • L’ensemble des entités bénéficiant des collectes effectuées via les traceurs doit pouvoir être identifié, afin de permettre à la personne d’y consentir, avant toute implantation des traceurs, hormis les traceurs techniquement nécessaires et les traceurs de mesure d’audience non intrusifs ;

  • Le refus d’implantation d’un traceur ne doit pas empêcher l’utilisation du site web ou de l’application (cookie wall).

  • Le sort des bandeaux d’information trop laconiques est scellé, et les jours du consentement par poursuite de la navigation sont comptés.

C’est dans ce contexte que tout récemment, plusieurs marques (Cdiscount, Vanity Fair et Allociné, trois sites web très friands de publicité en ligne), ont été montrées du doigt et sont poursuivies devant la CNIL, pour avoir implanté des cookies, et donc collecté des données personnelles, en dépit d’un refus exprimé par les internautes.

Ces sites permis la collecte et au transfert de très nombreux destinataires tiers (dont Facebook ou Appnexus) aux fins de publicité, alors que les internautes s’y étaient opposés en utilisant l’outil de consentement des sites en question. En clair, l’internaute croit avoir refusé l’implantation des cookies au bénéfice de destinataires tiers, alors que la plateforme de gestion du consentement a réagi comme s’ils y avaient consenti.

Il s’agit, si les faits sont avérés (et une extension intitulée « Cookie Glasses » utilisée par des chercheurs a permis de vérifier l’implantation des cookies malgré le refus), d’une violation grave du RGPD, puisque la collecte et le transfert des données depuis ces sites web est privée de base légale (pas de consentement). Les données ont donc été collectées illégalement par les sites web, et obtenues (et réutilisées) tout aussi illégalement par les destinataires (plusieurs centaines d’intermédiaires en publicité, ainsi exposés eux aussi à la mésaventure de Vectaury dans l’univers mobile).

La publicité digitale ciblée donne ainsi lieu à une vaste saga à rebondissements, et illustre certaines difficultés dans l’application du RGPD, dans des domaines économiques fondés sur la data, ainsi que les réticences de certains acteurs qui devront nécessairement modifier leurs pratiques, si ce n’est dès aujourd’hui, en tous cas à brève échéance désormais. On peut penser que d’autres jurisprudences viendront marquer leur chemin de croix, mais c’est clairement à ce prix que la nouvelle réglementation, plus protectrice des droits des individus bien qu’encore imparfaite, sera déployée et respectée par les acteurs économiques.